[icotonev]

Добрый день...!

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\program files\multi password recovery\mpr.exe.bak','');
 QuarantineFile('C:\WINDOWS\system32\msconfig.exe','');
 QuarantineFile('C:\Program Files\Multi Password Recovery\MPR.exe','');
 DeleteFile('c:\program files\multi password recovery\mpr.exe.bak');
 DelCLSID('{314111c7-a502-11d2-bbca-00c04f8ec294}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(20);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
После перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Подготовить новые логи..!

+

Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

+

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

[rivera]

Проблема решена.

все дело было в постоянных маршрутах, понял по созданному backup'у, там был возврат маршрутов

у меня остались вопросы:
1. msconfig.exe - это же системный файл, с ним все в порядке
2. я вроде тоже смотрел те логи, откуда вы понимаете, что именно надо сажать в карантин, а что является нормальным файлом? (на ум приходит только то, что надо знать список всех "белых" файлов)
3. что за новинки такие ГМЕР и РСИТ? они что делают и дают?


(а пока пойду выполнять все остальные пункты)

[icotonev]

Привет..!

1.АВЗ подозира ===>>>C:\WINDOWS\system32\msconfig.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
Файл успешно помещен в карантин (C:\WINDOWS\system32\msconfig.exe)
А почему вы думаете, что системный файл не может быть инфицирован ..?

2. Подозрение на маскировку ключа реестра службы\драйвера "gxvxcserv.sys"(Подозрение на Kido или TDSS).....для этой цели использовать ГМЕР..- сканер руткитов - в настоящее время один из наиболее часто используемых
инструментов для обнаружения и удаления руткитов на системах Windows.

3.РСИТ - Данная утилита представляющая собой инструмент для быстрого, но глубокого автоматического исследования наиболее уязвимых областей операционной системы пользователя на основе утилиты HijackThis, но с более расширенными возможностями анализа, позволяющего отследить изменения, произошедшие за определённый период, будь то процесс, служба, драйвер, ключ реестра, директория или файл.

[rivera]

1. По форме отправить файл карантина не получилось, объем больше чем максимально допустимый
2. ГМЕР - работал более 13 часов, ничего не происходило: ЦПУ загружен 100%, никакие приложения не работают, объем винта 160 Гигов - терпения не хватило до конца продержать
3. Все логи прикреплены

(скорее риторика)
4. а чё, CureIt и HiJackThis нынче не в моде? ими больше не пользуются?
5. Куда смотрел обновленный Нод32 и почему CureIt нашел всего 3 вируса, когда после него Malwarebytes' Anti-Malwarе еще тучу чего нашел ((


добавлено:
после запуска гмер, даже после экспресс скана, весь комп грузится на 100 % и псец - хард резет
сделал легкий лог

[icotonev]

Цитата rivera:

1. По форме отправить файл карантина не получилось, объем больше чем максимально допустимый »

Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь.


Удалите в МВАМ:

Код:

Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\{NSINAME} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\gxvxc (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\gxvxcserv.sys (Trojan.Agent) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\www.qword.com (Adware.QWO) -> No action taken.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Зараженные папки:
C:\Program Files\Common Files\wm\keys (Trojan.KeyLog) -> No action taken.

Зараженные файлы:
C:\WINDOWS\system32\inetsrv\iissync.exe (Virus.Expiro) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\gxvxccounter (Trojan.DNSChanger) -> No action taken.
C:\Documents and Settings\user\Избранное\Qword Search Engine.url (Adware.QWO) -> No action taken.

Сделайте новый лог МВАМ..!

[icotonev]

Кроме того скачать TDSSKiller и делать проверку компьютера. Подробные указания Здесь

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).Имя отчета имеет следующий вид:
Например: C:\TDSSKiller.2.4.0_23.07.2010_15.31.43_log.txt
Прикрепите лог в следующем сообщение..!

[rivera]

icotonev
удалите МБАМ - это удалить Malwarebytes' Anti-Malware ???
сделать новый лог не удаляя, а просто проапдейтив базу низя?


зачем вы цитировали код: мне его куда вставить?

[rivera]

повторный скан МБАМ (до утилиты TDSSKiller - никаких изменений)

прогнал разок TDSSKiller - после перезагрузки обещал удалить руткиты

счас повторно прогоню мбам и TDSSKiller потом выложу результаты

[rivera]

прогнал ТДССКиллер

прогнал МБАМОМ (не удалял и не обновлял повторно)